BDS/Ginwui.A.4 - Backdoor Server

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	BDS/Ginwui.A.4
Scoperto:	22/05/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	73.245 Byte
Somma di controllo MD5:	6d69ab10c2e8194465ab25cbfb96dae6
Versione VDF:	6.34.01.120

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Symantec: Backdoor.Ginwui.B
   • Mcafee: BackDoor-CKB
   • Kaspersky: Backdoor.Win32.Ginwui.a
   • TrendMicro: BKDR_GINWUI.B
   • Bitdefender: Backdoor.Ginwui.B

Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows 2000
   • Windows XP

Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %TEMPDIR%\20060426.bak

Cancella la copia di se stesso eseguita inizialmente.

Vengono creati i seguenti file:

– %SYSDIR%\zsydll.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Ginwui.A.DLL

– %SYSDIR%\zsyhide.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Ginwui.A

Registro Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   zsydll]
   • DllName = %SYSDIR%\zsydll.dll
   • Shutdown = DoShutdown
   • Startup = DoStartup
   • Asynchronous = 1
   • Impersonate = 0

Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Nuovo valore:
   • AppInit_DLLs = %SYSDIR%\zsyhide.dll

Backdoor Contatta il server:
Il seguente:
• http://scfzf.xi**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Inoltre periodicamente ripete la connessione.

Come il virus si inserisce nei processi – Inserisce il seguente file in un processo: %SYSDIR%\zsydll.dll

Nome del processo:
• iexplore.exe

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Andrei Gherman il Mon, 22 May 2006 17:37 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Mon, 22 May 2006 18:05 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back